5 Thailand's PDPA Myths

Disclaimer: ผู้เขียนไม่ได้มีเจตนากล่าวหาหรือว่าร้ายบุคคลหรือนิติบุคคลใดทั้งสิ้น แค่ระบายเฉย ๆ จ้าาา

ตั้งแต่มี PDPA เกิดขึ้นมา ชีวิตในการทำงานในฐานะ Security Consultant ของผมยิ่งยากขึ้นทุกวัน ๆ (แต่ก็ยอมครับ เพราะผมได้ตังค์ :D)

ซึ่งถ้าถามว่ามันยากขึ้นยังไงและเพราะอะไรนั้นผมบอกได้เลยว่าหลัก ๆ มาจากการที่หลาย ๆ คนยังมีความเข้าใจผิด ๆ เกี่ยวกับกฎหมายฉบับนี้อยู่หลายข้อ แต่ก็เข้าใจได้นะครับด้วยหลาย ๆ เหตุผล ซึ่งวันนี้จะเป็นฤกษ์งามยามดีที่เราจะมาปรับความเข้าใจในหลาย ๆ ประเด็นที่ยังเข้าใจผิดกันอยู่เกี่ยวกับ PDPA กันนะครับ

Myth#1: ถ้าทำตาม PDPA แล้วระบบของเราจะไม่โดนแฮค

ในความเป็นจริงนั้นเราต้องจัดให้มีมาตรการรักษาความปลอดภัยเพื่อป้องกันการโดนแฮคหรือเหตุการณ์ที่ไม่พึงประสงค์ที่อาจจะเกิดขึ้นกับข้อมูลส่วนบุคคลต่างหาก เพื่อเป็นการปฏิบัติตามหน้าที่ในฐานะผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ระบุไว้ในกฎหมายตามมาตรา 37(1) และ 40(2)

มาตรา ๓๗ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(๑) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด

มาตรา ๔๐ ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้

(๒) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

Myth#2: PDPA เกี่ยวข้องกับระบบ IT เท่านั้น

โนวววววว กระบวนการ ระบบการทำงาน และบริการอื่น ๆ ที่ไม่เกี่ยวกับ IT ก็ต้องเป็นไปตาม PDPA นาจาา ไม่ว่าจะเป็นการเก็บ ใช้ หรือเผยแพร่ข้อมูลที่อยู่รูปแบบของ Hard-copy หรือแม้กระทั่งการเก็บภาพหรือการบันทึกเสียงก็ตาม แต่ก็อาจจะได้รับการยกเว้นในบางมาตรการขึ้นอยู่กับจุดประสงค์ในแต่ละเคสนะครับ

Myth#3: ทุกองค์กรต้องมี DPO (Data Protection Officer)

ไม่ใช่เลยครับ เฉพาะบางองค์กรเท่านั้นที่จำเป็นต้องมี DPO ขึ้นอยู่กับปัจจัย 3 ข้อตามมาตรา 41 ดังนี้ครับ

1. เป็นหน่วยงานภาครัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
2. มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมากตามเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
3. มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว ซึ่งระบุไว้ในมาตรา 26

ถ้าองค์กรของคุณมีคุณสมบัติตรงกับข้อใดข้อหนึ่ง ยินดีด้วยครับ คุณต้องรีบหา DPO เดี๋ยวนี้ครับ! แต่ก็ยังมีความโชคดีในโชคร้ายครับ เพราะ DPO นั้นจะเป็นคนในองค์กรหรือจ้างจากภายในก็ได้ครับ

มาตรา ๔๑ ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้

(๑) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการประกาศกำหนด

(๒) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยจำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด

(๓) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา ๒๖

มาตรา ๒๖ ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่…

Myth#4: ในฐานะเจ้าของข้อมูล เราจะขอให้ลบข้อมูลเมื่อไหร่ก็ได้ ในทุกกรณี

ไม่ใช่เสมอไปครับ ผู้ควบคุมหรือผู้ประมวลผลข้อมูลไม่จำเป็นต้องลบข้อมูลและยังใช้ข้อมูลต่อได้ถ้าข้อมูลเหล่านั้นยังจำเป็นตามวัตถุประสงค์เดิมและอยู่ภายใต้ข้อกฎหมายครับ ดังนั้นเราจะเดินมึน ๆ ไปขอลบข้อมูลสุ่มสี่สุ่มห้าไม่ได้นะครับ

Myth#5: จะเก็บข้อมูลส่วนบุคคลได้ต้องขอความยินยอมเท่านั้น

ข้อนี้เจอบ่อยมากกกก และอยากจะบอกเลยครับว่าไม่จำเป็นเสมอไปครับ เราสามารถเก็บข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอมในกรณีต่าง ๆ ตามมาตรา 24 ดังนี้ครับ

1. เพื่อสาธารณประโยชน์
2. เพื่อป้องกันอันตรายต่อชีวิตหรือสุขภาพ
3. เพื่อปฎิบัติตามสัญญา
4. เพื่อปฏิบัติหน้าที่ตามอำนาจรัฐ
5. เพื่อประโยชน์โดยชอบด้วยกฎหมาย
6. เพื่อปฏิบัติตามกฎหมาย

ดังนั้นข้อมูลส่วนบุคคลที่เราจำเป็นจะต้องเก็บในกรณีต่าง ๆ ข้างต้น ไม่จำเป็นต้องขอความยินยอมก่อน เช่น ข้อมูลส่วนบุคคลที่เราต้องเก็บเพื่อให้บริการลูกค้า ให้ระบุไว้ใน Service Agreement อย่างชัดเจนให้เป็นการเก็บข้อมูลเพื่อปฏิบัติตามสัญญาในการให้บริการที่ลูกค้าต้องยอมรับเท่านั้นก่อนใช้บริการ

มาตรา ๒๔ ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

(๑) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดท าเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด

(๒) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล

(๓) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

(๔) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

(๕) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญ น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

(๖) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

ทั้ง 5 ข้อนี้เป็นแค่ประเด็นที่ผมเจอบ่อย ๆ ในระหว่างทำงานและอธิบายซ้ำ ๆ บ่อยมากจนเริ่มเอียนและ แต่ถ้าจะจ้างไปพูดก็ติดต่อได้เลยครับผมสตาร์ทรถรอแล้วครับ :D